CSAF macht Sicherheitshinweise für die Industrie maschinenlesbar

Sicherheit für die komplette Prozesskette

DKE: Herr Harner, Sie sind seit 2017 Abteilungsleiter von CERT@VDE und leiten seither auch die Abteilung Cybersecurity & CERT bei der DKE. Was sind die größten Veränderungen, die Sie in den letzten Jahren beobachtet haben?

Harner: Als ich 2011 bei der DKE angefangen habe, ging es gerade um die Frage, wie sich ein intelligentes Stromnetz, Stichwort „Smart Grid“, implementieren lässt. Sehr schnell wurde klar, dass neben den für die DKE klassischen Themen der Energieversorgung auch das Thema Cybersecurity eine Rolle spielen würde. Allerdings ging es nicht um Computer und Server, sondern um Kleinstrechner, die zur Steuerung eingesetzt werden und physikalische Prozesse beeinflussen – die sogenannte Operative Technologie (OT).

Damit wurde Cybersecurity zu einem sehr wichtigen DKE Thema, das inzwischen auch Bereiche wie Smart Home, Industrie 4.0 und Medizintechnik erfasst hat. Für die Industrie steckt dahinter ein immens weites und herausforderndes Feld, denn es geht nicht nur um Cybersecurity für ein einzelnes Produkt, sondern auch und insbesondere um Sicherheit in der kompletten Wertschöpfungskette bis hin zum Anwender und Betreiber der Produkte.

Zudem sind die zu treffenden Maßnahmen nicht statisch, sondern sie müssen an neue Bedrohungslagen adaptierbar sein. Das kennen wir alle aus dem privaten Bereich, wenn wir zum Beispiel das Homebanking anschauen. Zunächst hatten wir TAN-Listen, dann indizierte TAN-Listen, danach Freigaben per SMS und heute eine 2-Faktor-Authentifizierung.

Darüber hinaus müssen Hersteller auch nach dem Verkauf ihre Produkte mit Security-Updates versorgen und auf bekannt werdende Sicherheitslücken reagieren. Für Branchen wie den Anlagenbau, die daran gewohnt sind, dass Anlagen zwanzig oder dreißig Jahre unverändert laufen, stellen diese Prozesse eine große Herausforderung dar.

Vor CERT@VDE gab es keine Anlaufstelle für die Industrie

DKE: CERT@VDE reklamiert für sich, die erste IT-Sicherheitsplattform in Deutschland für Unternehmen im Bereich der Automatisierung zu sein. Was steckt dahinter?

Harner: Unsere Plattform wurde vor acht Jahren auf Initiative der Automatisierungsindustrie gegründet. Bis zu diesem Zeitpunkt war die einzige Anlaufstelle zur Bearbeitung und Veröffentlichung von Advisories das ICS-CERT in den USA (heute CISA, Cybersecurity & Infrastructure Security Agency), die zum amerikanischen Heimatschutzministerium gehört (Department of Homeland Security). Die Arbeit mit dieser staatlichen Organisation war und ist für deutsche Mittelständler oftmals kompliziert.

Gleichzeitig gab es weder in Deutschland noch in Europa eine ähnliche Anlaufstelle für die Industrie, die im Umgang mit Schwachstellen in deren embedded-Software-Produkten Hilfe geleistet hätte. Um diese Lücke zu schließen, haben wir mit fünf Partner-Unternehmen CERT@VDE ins Leben gerufen, das seitdem als koordinierendes Produkt-CERT (Product Security Incident Response Team, PSIRT) globale Sichtbarkeit und Bedeutung erreicht hat. Daraus resultiert erfreulicherweise bis heute ein kontinuierlicher Zulauf an Partnerunternehmen in das CERT@VDE.

Prozess für Meldung von Schwachstellen reduziert Risiken

DKE: Wie sieht der Prozess aktuell aus, wenn Schwachstellen auftreten?

Harner: Dafür gibt es ein international anerkanntes Vorgehen, den CVD (Coordinated Vulnerability Disclosure) Prozess. Zunächst meldet ein Sicherheitsforscher, ein Kunde, ein Konkurrent oder auch ein Anwender eine Schwachstelle in einem Produkt. Diese Meldung erfolgt vertraulich an den jeweiligen Hersteller oder an CERT@VDE.

Ist der Hersteller eines unserer Partner-Unternehmen, analysieren wir gemeinsam das Problem, bestimmen die exakte Anzahl an Schwachstellen und vergeben weltweit eindeutige Codes (CVE, Common Vulnerabilities and Exposures). Dazu sind wir als anerkannte CNA (CVE Numbering Authority) berechtigt.

Parallel dazu entwickelt und testet unser Partner die notwendigen Patches, Updates oder andere risikomindernde Maßnahmen, um das Problem zu beheben. Zusammen mit der Schwachstelle und einer öffentlichen Sicherheitsmeldung (Advisory) werden diese so schnell wie möglich und koordiniert über CERT@VDE veröffentlicht, damit Kunden und Anwender sie umsetzen können und die Schwachstelle nicht von Angreifern genutzt werden kann.

Wichtig ist, dass der Prozess genauso befolgt wird. Werden zum Beispiel Schwachstellen veröffentlicht, bevor eine Lösung verfügbar ist, können diese ausgenutzt werden und massive Angriffswellen folgen. Unternehmen, die ihre Kunden nicht mit Advisories informieren, laufen Gefahr, zukünftige Aufträge zu verlieren und erleiden gegebenenfalls einen massiven Image-Verlust.

Zahl der Sicherheitsmeldungen macht Automatisierung unumgänglich

DKE: Im Jahr 2011 wurde mit dem Common Vulnerability Reporting Framework (CVRF) ein erster Ansatz geschaffen, Sicherheitshinweise automatisiert zu verarbeiten. 2024 hat die Organisation OASIS (Organization for the Advancement of Structured Information Standards) unter Beteiligung von Siemens, Microsoft und Cisco sowie dem Bundesamt für Sicherheit in der Informationstechnik nun das Common Security Advisory Framework (CSAF) als neuen Standard veröffentlicht. Warum?

Harner: Die Erzeuger von Sicherheitshinweisen, also die Unternehmen, und auch wir als CERT@VDE sehen in den letzten Jahren einen exponentiellen Anstieg an Schwachstellen und entsprechend notwendigen Meldungen. Das liegt daran, dass mehr Vernetzung mehr Angriffsfläche bietet, dass mehr Schwachstellen entdeckt werden und Kunden mehr auf das Thema achten.

Neben der reinen Menge ist ein weiteres Problem, dass Advisories bislang in unterschiedlichen Formaten, also beispielsweise als PDF, als Website oder als Textfile veröffentlicht werden. Das heißt, Mitarbeitende großer Konzerne müssen Unmengen nicht einheitlicher Informationen über alle Standorte hinweg aufnehmen, bewerten und in passende Maßnahmen überführen. Das ist kaum machbar, daher der Bedarf einer Automatisierung – mit der Vorgabe, ein einheitliches Advisory-Format zu entwickeln und es maschinenlesbar zur Verfügung zu stellen.

Der erste Anlauf, CVRF, ist damals im Sande verlaufen. Vor fünf Jahren haben wir aus Deutschland heraus die Initiative für einen neuen Anlauf ergriffen, und so kam es zur Entwicklung von CSAF.

Mit unserem DKE Newsletter sind Sie immer top informiert! Monatlich ...

• fassen wir die wichtigsten Entwicklungen in der Normung kurz zusammen
• berichten wir über aktuelle Arbeitsergebnisse, Publikationen und Entwürfe
• informieren wir Sie bereits frühzeitig über zukünftige Veranstaltungen

Support für Unternehmen bei der Einführung von CSAF

DKE: Welche Beiträge haben Sie dazu geleistet, auch mit der DKE als Normungsorganisation im Hintergrund, und welche Rolle spielt CERT@VDE künftig im CSAF-Ökosystem?

Harner: Neben wichtigen Impulsen über eigene Workshops hat CERT@VDE während der CSAF-Standardisierung auf nationaler Ebene die Arbeiten von OASIS aktiv unterstützt. Durch die Anbindung an die DKE konnten wir zudem die Themen in den entsprechenden DKE Gremien direkt vorstellen und diskutieren, was von großem Vorteil war.

Als sogenannter CSAF-Provider haben wir inzwischen all unsere Prozesse angepasst, um mit Partnern CSAF-Advisories zu erstellen und zu veröffentlichen. Das bedeutet, dass die enthaltenen Informationen digital abrufbar sind und nicht mehr von Menschen gelesen werden müssen. Zudem können wir aber auch Advisories von Herstellern, die nicht unsere Partner sind, aggregieren und zentral zur Verfügung stellen.

DKE: Wie werden Unternehmen bei der CSAF-Einführung unterstützt?

Harner: Ganz ehrlich, da steckt am Anfang Arbeit für alle Beteiligte drin. Allerdings haben wir seitens CERT@VDE den Löwenanteil bereits zentral implementiert, damit die maschinenlesbaren Advisories erzeugt und provisioniert werden können. Damit unterstützen wir jeden unserer Partner, so dass die jeweiligen CSAF-Advisories schnell und standardkonform veröffentlicht werden können.

Belegschaft entlasten, Vorgaben erfüllen und Marktvorteil erhalten

DKE: Was ist der größte Vorteil für Unternehmen, die CSAF nutzen?

Harner: Viele unserer Partnerfirmen sind „Hidden Champions“, die als Weltmarktführer drei bis vier Milliarden EUR Umsatz machen mit 30.000 Produkten, die in viele Industrien verkauft werden: Sie haben eine steigende Anzahl an Sicherheitshinweisen zu bewältigen und viele Kunden, die sie informieren müssen. Wer sich in so einer Position jetzt fit für CSAF macht, investiert in die Zukunft.

DKE: Und welches Risiko tragen Unternehmen, die die Automatisierung nicht mitgehen?

Harner: Aus meiner Sicht lässt sich das exponentielle Wachstum an Schwachstellen nicht länger bewältigen, indem man mehr Mitarbeitende zur Bearbeitung einstellt. Zudem fordert kurz- oder mittelfristig auch der europäische Cyber Resilience Act die Veröffentlichung von Sicherheitshinweisen ein, so dass der Handlungsdruck steigen wird. Ebenso setzt die internationale Community – unter anderem CISA in den USA und ENISA in Europa – komplett auf CSAF.

Wer sich dagegen stemmt, geht das Risiko ein, die gesetzlichen Anforderungen an einem Punkt vielleicht nicht mehr erfüllen zu können. Außerdem kann es sein, dass Unternehmen ohne Automatisierung in diesem Bereich ihren Marktvorteil einbüßen – oder, im schlimmsten Fall, dass Schwachstellen übersehen bzw. nicht an Kunden kommuniziert werden, mit den entsprechenden Folgen.

CSAF weiter optimieren und für alle Unternehmen nutzbar machen

DKE: Wie geht es nun weiter, welche Zukunftspläne hat CERT@VDE?

Harner: Es gibt noch Baustellen, die bei CSAF abgeschlossen werden müssen. So haben wir zum Beispiel vorgeschlagen, das CSAF-Template im json-Format für die Erstellung eines Advisories zu verschlanken. Das komplette Template ist Ergebnis eines langwierigen Abstimmungsprozesses und bietet viele Auswahlmöglichkeiten, die es oft gar nicht braucht. Unsere deutlich schlankere Version wäre als Grundlage leichter in der Handhabung, dafür setzen wir uns derzeit ein.

Außerdem unterstützen wir unsere Partner dabei, CSAF-Advisories selbst zu erstellen und zu veröffentlichen. Das heißt, sie haben die Wahl, ob sie bei uns als CSAF Trusted Provider veröffentlichen – das können übrigens auch Unternehmen, die keine CERT@VDE-Partner sind – oder ob sie dies selbst tun möchten.

DKE: Herr Harner, vielen Dank für das interessante Gespräch.

Die starke Vernetzung unserer Infrastrukturen ruft einige Bedrohungen der Informationssicherheit und des Datenschutzes bei Systemen hervor. Innerhalb der DKE werden im Arbeitsfeld Cybersecurity wichtige Sicherheitsfragen behandelt, die sich über die gesamte Laufzeit eines Systems bzw. einer Systemkomponente erstrecken. Ein Hauptziel aus Normungssicht ist dabei, Cybersecurity als Innovationsthema zu verstehen und in den relevanten Bereichen ganzheitlich zu adressieren.